Pull to refresh

Как Facebook защищал тунисские аккаунты

Reading time 2 min
Views 2.9K
В начале января 2011 года тунисские спецслужбы с помощью местного провайдера-монополиста осуществили массовый взлом аккаунтов на Facebook, пытаясь остановить организацию митингов на улицах и распространение видеороликов. Технически это было сделано с помощью внедрения вредоносного скрипта в страницу авторизации сайта для пользователей Facebook в Тунисе с последующим перехватом зашифрованного логина и пароля из фальшивого URL (подробнее см. здесь).

Оказывается, разработчики Facebook распознали атаку на ранних стадиях и в течение нескольких дней реализовали специальную технику защиты для пользователей из этой страны.



Директор по безопасности Facebook Джо Салливан (Joe Sullivan) первым заметил необычный поток жалоб от тунисских пользователей на то, что посторонние лица входят и удаляют их аккаунты. Кроме того, был зарегистрирован резкий всплеск посещаемости из Туниса. 25 декабря 2010 года Салливан поручил своему отделу безопасности изучить проблему.

Сразу доказать факты захвата аккаунтов им не удалось, потому что в Тунисе у всех пользователей динамические IP. Но после десяти дней разбирательства выяснилось, что происходит нечто беспрецедентное: к 5 января 2011 года стало понятно, что скомпрометированными являются пароли всех пользователей в Тунисе. С таким Facebook ещё не сталкивался: противником выступал национальный ISP, который фильтровал весь входящий трафик и добавлял вредоносные скрипты в индивидуальные сессии пользователей. Салливану помогли опубликованные в открытых источниках работы независимых специалистов по безопасности Клэя Ширки (Clay Shirky) и Евгения Морозова, детально объясняющие механизм взлома аккаунтов Facebook правительственными спецслужбами.

Facebook воспринял это как техническую, а не политическую проблему, и начал её решать. Команда Салливана быстро выкатила двухуровневую систему. Во-первых, все запросы из Туниса автоматически перенаправлялись на https-сервер (хотя они понимали, что ISP может принудительно переводить сессию в http, но этого не произошло). Во-вторых, был запущена дополнительная процедура аутентификации для всех тунисских пользователей, которые за последнее время осуществляли авторизацию (то есть чьи пароли могли быть перехвачены). Чтобы зайти на сайт, им нужно было распознать нескольких своих френдов по фотографиям. Для 100% тунисских пользователей новая система была активирована к утру 10 января.



По мнению экспертов, жасминовая революция в Тунисе (или, как её ещё называют, Facebook-революция) подняла несколько проблем, о которых стоит задуматься. Во-первых, возникает вопрос, насколько международный интернет-трафик защищён от вторжения правительств или других потенциально вредоносных организаций. Во-вторых, это запрет на псевдонимы в Facebook, ведь теперь мы видим, что в некоторых странах за политическую активность можно лишиться жизни, так что местным активистам просто опасно общаться в интернете под настоящими именами.

Кстати, в Беларуси, где ситуация схожа с Тунисом, сейчас наблюдается новая волна репрессий против гражданского населения: наверное, через систему вроде СОРМ власти получили список абонентов сотовой связи, которые находились в центре Минска во время массовых протестов 19 декабря 2010 года с 20:00 до 22:00 (по неофициальным данным, около 75 тыс. человек), сейчас все они вызываются на допросы в следственные органы. Местным жителям для разговоров на политические темы рекомендуют покупать SIM-карты, оформленные на подставных людей.
Tags:
Hubs:
+144
Comments 322
Comments Comments 322

Articles